nvd,anchore_overrides
Pwrplugins
Уязвимости
6
Эксплуатируемые
0
Критический
0
Высокий
0
Топ уязвимостей
CVE-2025-57932Неправильное нейтрализация ввода во время уязвимости Web-Peration («Cross-site Scripting») в портфеле-элементе Диего Перейры PowerFolio позволяет хранить XSS.Эта проблема затрагивает PowerFolio: от n/a до <= 3.2.1.
CVE-2025-7046Плагин Portfolio for Elementor & Image Gallery | PowerFolio для WordPress уязвим к Stored Cross-Site Scripting через пользовательские атрибуты JS плагина в версиях до 3.2.0 включительно из-за недостаточной проверки и экранирования ввода. Это позволяет authenticated attackers с правами contributor и выше внедрять произвольные веб-скрипты на страницы, которые будут выполнены при доступе пользователя к внедренной странице [1].
Проблема была частично исправлена в версии 3.2.0 и полностью исправлена в версии 3.2.1
Источники:
- [1] https://www.wordfence.com/threat-intel/vulnerabilities/id/11f01584-e389-4551-b151-f3f0686d1d5d?source=cve
- [2] https://plugins.trac.wordpress.org/browser/portfolio-elementor/trunk/elementor/elementor-widgets/portfolio_widget.php#L541
- [3] https://plugins.trac.wordpress.org/browser/portfolio-elementor/trunk/elementor/elementor-widgets/image_gallery_widget.php#L492
- [4] https://plugins.trac.wordpress.org/changeset/3318503/
CVE-2025-6687Плагин Magic Buttons для Elementor для WordPress уязвим для Хранения Cross-Site Scripting через шорткод магической кнопки плагина во всех версиях до 1,0 из-за недостаточной дезинфекции ввода и выхода, подаваемых на атрибуты, поставляемые пользователем «икон». Это позволяет аутентифицированным злоумышленникам с доступом на уровне участников и выше вводить произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда пользователь получает доступ к введенной странице.
CVE-2025-6686Плагин Magic Buttons for Elementor для WordPress уязвим для Сценария Кросс-сайта через шорткод вызова плагина во всех версиях до 1,0 из-за недостаточной дезинфекции ввода и выхода на поставляемый «текстовый» атрибут пользователя. Это позволяет аутентифицированным злоумышленникам с доступом на уровне участников и выше вводить произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда пользователь получает доступ к инъекционной странице.
CVE-2024-22150Неправильная нейтрализация ввода во время генерации веб-страницы ('Cross-site Scripting') уязвимость в PWR Plugins Portfolio & Image Gallery for WordPress | PowerFolio позволяет Stored XSS. Эта проблема затрагивает Portfolio & Image Gallery for WordPress | PowerFolio: от n/a до 3.1.
CVE-2022-4765Плагин Portfolio for Elementor WordPress до версии 2.3.1 не проверяет и не экранирует некоторые из своих атрибутов шорткода перед их выводом обратно на страницу, что может позволить пользователям с ролью не ниже участника выполнять атаки с сохраненным межсайтовым скриптингом, которые могут быть использованы против пользователей с высокими привилегиями, таких как администраторы.